Gestion du Risque : Gestion des risques liés aux technologies de l'information...

Les risques informatiques comprennent les pannes matérielles et logicielles, les erreurs humaines, les spams, les virus et les attaques malveillantes, ainsi que les catastrophes naturelles telles que les incendies, les cyclones ou les inondations.

Vous pouvez gérer les risques informatiques en effectuant une évaluation des risques commerciaux. Avoir un plan de continuité des activités peut aider votre entreprise à se remettre d'un incident informatique.

Qu'est-ce qu'un risque informatique

Si votre entreprise s'appuie sur des systèmes de technologie de l'information (TI) tels que des ordinateurs et des réseaux pour des activités commerciales clés, vous devez être conscient de l'éventail et de la nature des risques pour ces systèmes.

Menaces informatiques générales

Les menaces générales pour les systèmes informatiques et les données comprennent :

• défaillance matérielle et logicielle - telle qu'une panne de courant ou une corruption de données
• malware - logiciel malveillant conçu pour perturber le fonctionnement de l'ordinateur
• virus - code informatique qui peut se copier et se propager d'un ordinateur à un autre, perturbant souvent les opérations informatiques
• spam, escroqueries et hameçonnage - e-mail non sollicité qui cherche à tromper les gens pour qu'ils révèlent des détails personnels ou achètent des biens frauduleux
• erreur humaine - traitement incorrect des données, élimination négligente des données ou ouverture accidentelle de pièces jointes infectées.

Menaces informatiques criminelles

Les menaces criminelles spécifiques ou ciblées sur les systèmes informatiques et les données comprennent :

• hackers – personnes qui pénètrent illégalement dans les systèmes informatiques
• fraude - utilisation d'un ordinateur pour modifier des données à des fins illégales
• vol de mots de passe - souvent une cible pour les pirates malveillants
• déni de service - attaques en ligne qui empêchent l'accès au site Web pour les utilisateurs autorisés
• les atteintes à la sécurité – comprennent les effractions physiques ainsi que les intrusions en ligne
• malhonnêteté du personnel - vol de données ou d'informations sensibles, telles que les coordonnées des clients.

Catastrophes naturelles et systèmes informatiques

Les catastrophes naturelles telles que les incendies, les cyclones et les inondations présentent également des risques pour les systèmes informatiques, les données et l'infrastructure. Les dommages aux bâtiments et au matériel informatique peuvent entraîner la perte ou la corruption des dossiers/transactions des clients.

Gestion des risques informatiques

La gestion des risques liés aux technologies de l'information (TI) est un processus structuré qui comprend une série d'activités pour :

• identifier les risques
• évaluer les risques
• atténuer les risques
• élaborer des plans de réponse
• revoir les procédures de gestion des risques.

Une approche globale de la gestion des risques utilisée par les agences australiennes de gestion des urgences est basée sur le modèle de prévention, de préparation, d'intervention et de rétablissement (PPRR) .

Exigences légales

Comme première étape dans la gestion des risques informatiques, vous devez connaître les exigences légales et législatives

Évaluation des risques informatiques

Une évaluation efficace des risques informatiques identifie les risques graves, en fonction de la probabilité que le risque se produise et des coûts des impacts commerciaux et de la reprise.

Pour compléter votre évaluation des risques informatiques, identifiez les risques pour votre entreprise et effectuez une analyse d'impact sur l'entreprise.

Planification de la continuité des activités

Après avoir identifié les risques et les impacts commerciaux probables, l'élaboration d'un plan de continuité des activités peut aider votre entreprise à survivre et à se remettre d'une crise informatique. Un plan de continuité des activités identifie les activités commerciales critiques, les risques, les plans d'intervention et les procédures de reprise.

En savoir plus sur la planification de la continuité des activités...

Politiques et procédures de gestion des risques informatiques

Les politiques et procédures informatiques expliquent au personnel, aux sous-traitants et aux clients l'importance de la gestion des risques informatiques et peuvent faire partie de vos plans de gestion des risques et de continuité des activités.

Les politiques et procédures de sécurité peuvent faciliter la formation de votre personnel sur des questions telles que :

• utilisation sécurisée des e-mails
• établir des processus pour les tâches courantes
• gestion des modifications des systèmes informatiques
• réponses aux incidents informatiques.
• Un code de conduite peut fournir au personnel et aux clients une orientation claire et définir les comportements acceptables par rapport aux problèmes informatiques clés, tels que la protection de la vie privée et la conduite éthique.